如果我将我的 SSH 端口从 22 更改为 23453,我将无法再通过 ssh 登录。
更详细地说,我在 Amazon Web Services 上使用 Red Hat EC2 实例。这是我对全新安装所做的第二个更改(第一个更改是添加非根用户)。
我可以使用 Git Bash 和本地 .ssh/config 文件正常使用 ssh,我编辑 /etc/ssh/sshd_config 中当前显示的行
#Port 23453
说
Port 23453
然后重启sshd
sudo service sshd restart
然后我在 .ssh/config 文件中添加一行“Port 23453”
Host foo
Hostname my-ec2-public-DNS
Port 23453
IdentityFile my ssl key
如果我打开另一个 Git Bash shell(不关闭现有连接)并尝试通过 ssh 进入我的实例(使用 ssh foo),我会看到以下错误:
ssh: connect to host my-ec2-public-DNS port 23453: Bad file number
附加到此实例的安全组有两个条目,都是 TCP
22 (SSH) 0.0.0.0/0
23453 0.0.0.0/0
我最好的猜测是该端口仍被我的防火墙阻止。
的输出sudo iptables -L如下
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
这对我来说看起来很开放。
更新
添加 iptables 规则后
iptables -A INPUT -p tcp --dport 23453 -j ACCEPT
再试一次,仍然没有运气。
的输出iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
ACCEPT tcp -- anywhere anywhere tcp dpt:23453
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
看起来足够开放。我不完全确定如何查找传入的数据包或端口上的活动。但是netstat -ntlp(作为根)的输出
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:56137 0.0.0.0:* LISTEN 948/rpc.statd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 930/rpcbind
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1012/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1224/master
tcp 0 0 0.0.0.0:23453 0.0.0.0:* LISTEN 32638/sshd
tcp 0 0 :::36139 :::* LISTEN 948/rpc.statd
tcp 0 0 :::111 :::* LISTEN 930/rpcbind
tcp 0 0 ::1:631 :::* LISTEN 1012/cupsd
tcp 0 0 :::23453 :::* LISTEN 32638/sshd
在我看来,这似乎是在 23453 上显示 sshd。
我再次检查了该实例是否在安全组中打开了端口(端口:23453,协议:tcp,来源:0.0.0.0/0)
还有什么可能导致通过 SSH 连接失败?
干杯
尸检
我现在可以连接了。这是 iptables 中缺少的规则。现在的输出iptables -L如下所示:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:23453 state NEW
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
您的实例防火墙没有打开此端口。尝试以下命令:
请注意,需要保存 iptables 规则才能在重启后保留。在 RHEL 上是:
添加 iptables 规则
它通过端口 23435 接受来自任何主机的流量,并尝试 ssh,如果您看到任何数据包或活动,则意味着数据包正在到达您的服务器。
如果您没有看到任何数据包,则表示 AWS 安全组没有允许您的端口的规则。
但如果您看到此规则上的流量(按
iptables -nvL),则必须运行“netstat -ntlp”并验证 SSH 守护进程是否在端口 2435 和 上运行0.0.0.0/0。希望这些步骤可以解决问题。如果仍然没有,那么告诉我。
您确定安全组设置正确吗?您是否单击“应用更改”?许多人忘记实际应用他们的更改 :)
“Bad file number”通常表示连接超时,您的 iptables 设置看起来是正确的。
万一有人因为更改了 ssh 的默认端口而偶然发现了这个主题,这里有一个适合我的解决方案:
/etc/ssh/sshd_conf。